de Deutsch en English
binsec GmbH

Klassifizierung

Hacker sind unberechenbar. Im Normalfall bleibt uns sowohl ihre Identität unbekannt als auch die Anzahl von Angreifern, welche es beispielsweise auf ein Unternehmen abgesehen haben. Zur Absicherung fragen potenzielle Auftraggeber deshalb einen Pentest an. Doch oftmals bleibt bei der initialen Anfrage das Szenario unklar, wie die Simulation des Hackerangriffs vonstattengehen soll. Unsere Aufgabe ist daher die Klassifizierung des Pentests gemeinsam mit dem Auftraggeber.

Wie wir uns stets in Erinnerung rufen sollten, nehmen wir bei der Ausführung von Pentests die Rolle eines Angreifers ein. Dies kann beispielsweise ein vor Kurzem entlassener IT-Leiter sein, welcher Groll gegen seinen ehemaligen Arbeitgeber hegt, oder ein unbekannter Angreifer, der sich finanziell bereichern will. Für die Planung eines Pentests müssen wir folglich die Ausgangssituation kennen und hierfür u. a. folgende Fragen klären:

  • Welche Zielsysteme bzw. Anwendungen sollen „angegriffen“ werden?
  • Werden für den Penetrationstest Zugangsdaten oder Informationen wie eine API-Dokumentation zur Verfügung gestellt?
  • Wird für den Penetrationstest ein Testsystem bereitgestellt oder müssen wir die Auswirkungen unseres Handelns stets abschätzen und ggf. Rücksprache mit dem Auftraggeber halten, um Störungen im Produktivsystem zu vermeiden?
  • Soll die Untersuchung vor Ort stattfinden?
  • Sollen sensitive Daten, wie Zugangscodes, von Angestellten über das Vortäuschen falscher Tatsachen entlockt werden?

Für all diese Fragen hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) das „Durchführungskonzept für Penetrationstests“ entworfen. Hieraus kann u. a. die nachfolgende Abbildung zur Klassifizierung eines Pentests entnommen werden:

Anhand dieser Kriterien können wir beispielsweise das vorgenannte Szenario vom entlassenen IT-Leiter durchspielen: Einem IT-Leiter werden im Gegensatz zu einem Hacker die internen Strukturen und Prozesse eines Unternehmens bekannt sein, wodurch ihm für seinen Angriff mehr Informationen zur Verfügung stehen (White-Box). Ebenso wird er die Anwendungen und Systeme kennen, welche unter seiner Leitung konzipiert worden sind. Hierdurch bietet sich ihm verständlicherweise eine viel größere Angriffsfläche als einem Angreifer ohne Unternehmensbezug (vollständiger Umfang). Wegen seiner Entlassung wird er wahrscheinlich aggressiv handeln, um einen möglichst großen Schaden zu verursachen. Dass dadurch Systeme zu Bruch gehen, wird ihn vermutlich nicht stören (aggressiv), sodass sein Handeln wohl über kurz oder lang entdeckt werden wird (offensichtliche Vorgehensweise). Da ihm bei der Entlassung jegliche Zugänge entzogen wurden, wird ihm nur der externe Netzwerkzugang für sein Vorhaben bleiben (Technik und Ausgangspunkt).

Klassifiziere wie im obigen Beispiel deinen Hackerangriff gegen die Dubius Payment Ltd. und begründe deine Auswahl. Die einzelnen Kriterien zur Klassifizierung werden hierfür im BSI-Dokument „Durchführungskonzept für Penetrationstests“ im Kapitel 3.4 ausführlich beschrieben.

Letzte Änderung: 2022-12-15

Pentest Training

Werfen Sie einen Blick auf die Kapitel vom Pentest Training und lernen Sie Pentesting:

  1. Vorwort
  2. Einführung
  3. Rechtliche Rahmenbedingungen
  4. Hacking vs. Penetration-Testing
  5. Klassifizierung
  6. Aussagekraft von Penetrationstest
  7. Penetration-Testing-Standards
  8. Der Hacking-Leitfaden
  9. Vorführung eines Pentests
  10. Risikobewertung von identifizierten Schwachstellen
  11. Aufbau Dokumentation und Berichterstellung
  12. Plauderei aus dem Nähkästchen: Insights von Dubius Payment Ltd.

Kursinformationen Penetrationstest

Über das Pentest Training

Entdecken Sie die Welt des Penetration Testing. Lernen Sie Netzwerke zu infiltrieren sowie erfolgreich Systeme und Anwendungen zu penetrieren. Eignen Sie sich das notwendige Hacking-Handwerkszeug an und setzen Sie es bei der Durchführung von profesionellen Penetrationstest ein. Werden Sie zum Penetrationstester. Hier finden Sie die öffentlichen und kostenlosen Unterlagen zum Pentest Training der binsec academy GmbH. Die binsec academy GmbH bietet die dazugehörigen virtuellen Labor-Umgebungen und Zertifizierungen an. Das vermittelte Wissen zu Hacking and Penetration Testing ist aber allgemeingültig.

Über binsec academy GmbH

Die binsec academy GmbH ist der europäische Anbieter für Online Security Trainings mit virtuellen Labor-Umgebungen. Kernbestandteil aller Security Trainings ist die Vermittlung von Praxis, Praxis und nochmals Praxis. Im Wiki finden Sie hier die öffentlichen und frei verfügbaren Kurs-Materialien. Die Theorie in die Praxis umsetzen, können sie auf binsec-academy.com.

Keywords